ドコモ口座の他行連携についてたらたらと書く

2020年9月10日木曜日

閑話 時事

t f B! P L

 ドコモ口座より銀行口座の預金が不正引き出しされた事件が話題になっている。


「ドコモ口座」被害は66件 計1800万円 陳謝し全額補償へ


この事件について、報道やブログやTwitterで入手した情報だけで、たらたらと記事を書いてみる。


この事件については、このブログ記事が詳しく伝えている。


ドコモ口座の不正利用で銀行から不正に残高が引き出される被害が続出!原因と対策は?



ドコモ口座というのは、オンライン銀行ではなく「送金サービス」である。

予めドコモ口座にお金を入金しておき、ドコモ口座の中に入金されている金額の範囲内だけ、オンラインで支払いができる。

要するに電子財布や、チャージ式の電子マネーである。



チャージする時にオンライン銀行から、直接チャージできる機能があり、今回はその機能を不正に使用されて、ドコモ口座と全く関係ない人の銀行口座から不正に預金をチャージ(抜き取られる)されてしまった。


ドコモ口座の利用者かどうかは関係無い。


携帯電話のドコモのユーザーかどうかも関係無い。


ドコモ口座は身元確認する事なく、フリーメールによってアカウントを作成できるので、不正を働く第三者が、他人の銀行口座を本人の許可なく登録し、銀行預金をチャージ(抜き取られる)されてしまった。


オンライン銀行との連携が問題


ドコモ口座と一般銀行のオンライン銀行は、Web-APIによって連携する。

連携の際にオンライン銀行側で本人確認する事になる。


ドコモ口座は銀行口座番号・口座名義人名・キャッシュカードのパスワードの三つのパラメーターで、オンライン銀行と連携する仕様になっている。


しかし、通常オンライン銀行側は口座番号・口座名義人名・パスワードだけでは接続出来ない。


プラスアルファ、何らかの本人認証情報を必要とする。


ちなみに三井住友銀行の場合はパスワードがオンライン銀行独自の暗証番号でキャッシュカードのパスワードとは異なる。

また、「ワンタイムパスワード」の入力を要求される。


三井住友銀行から郵送される専用カード型端末が、その人専用の1分だけ有効なワンタイムパスワードを表示する。


このワンタイムパスワードを1分以内に入力しなければログインも他システム(この場合はドコモ口座)と連携する事もできない。


この専用カード型端末は現在はスマホのアプリに置き換える事ができるが、オンライン銀行側でこのアプリを最初に認証しなければならないので、不正に連携できる代物ではない。


みずほ銀行のみずほダイレクトの場合は、アカウント名が口座番号ではなく独立した契約番号になっている。

パスワードもみずほダイレクト専用のキャッシュカードとは異なるパスワードで、参照用と更新用で異なる二つのパスワードがある。

他システム連携する場合は二つのパスワードが必要である。


しかも最初に本人認証する場合は「三つの秘密の質問」に回答できなれればログインも連携もできない。

「三つの秘密の質問」はみずほダイレクト開設時に作成する。


これら二つの銀行に関しては銀行口座番号・口座名義人名・キャッシュカードのパスワードでは他システム連携する事は不可能である。


三菱UFJ銀行に至っては他システム連携できない。


三大メガバンクに関してはセキュリティが厳しいので、ドコモ口座からの不正アクセスは不可能である。


連携のセキュリティが甘いオンライン銀行


今回の事件で、地銀とゆうちょ銀行から不正に預金が引き出されている。


不正引出が行われたオンライン銀行は、メガバンクと違い銀行口座番号・キャッシュカードのパスワードで本人認証しているらしい。


この三つの情報が不正に入手され、ドコモ口座からチャージされる事により、不正に預金が引き出されたようだ。


では犯人はどうやって三つの情報を不正入手したのだろう。

盗み見や窃盗などで手に入れる事もできる。

しかし、他の方法も考えられる。


パスワード総当たり法は使えない


古い不正ログインの方法としてパスワード総当たり法というのがある。

特定のユーザーアカウントに対して、0000,0001,0002,,,0010,0011,,,9999 という風に全ての数値の組み合わせを入力して試して見る方法だ。

これはよく使われる方法なので、オンライン銀行では「三回パスワードを間違えたらオンライン口座を使用不能」にしている。


口座番号の方を総当たりできる


ドコモ口座の問題はパスワードの方を固定して、口座番号の方を総当たり法で試す事が可能になっている点にあるようだ。


実際にどんな手段が使われたかは分からないが、口座番号の方を総当たりできるため、その可能性が疑われている。


パスワードに生年月日や電話番号など安易なパスワードを設定している人はまだ多く、しかもキャッシュカードのパスワードは4桁しか使えないため、1万通りしかパスワードの種類がない。


口座番号は7桁しかない為、1千万通りしかない。

1万のパスワードを、1千万通りの口座番号に総当たりさせれば、いくつかの正しい口座番号とパスワードのセットを見つけ出す事ができる。


1万のパスワードを1千万通りの口座番号に総当たりしても、総数は1000億通りである。


クラウドでサーバーを何十何百と起動して、分業で総当たりさせれば、数週間ぐらいで達成できそうな値だ。


全部総当たり出来なくても、最初の若い番号だけ総当たりしただけでも、数十の口座番号とパスワードのセットは手に入る。


数千万円を不正に入手するなら、数十セットもあれば十分だろう。


誰が悪いのか


今の段階では分からないが、もし口座番号とキャッシュカードのパスワードだけでオンライン銀行と連携できるようになっていたら、完全にオンライン銀行側が悪いと思う。


いくら何でもセキュリティが甘すぎる。


キャッシュカードのパスワードはキャッシュカードを本人が所有している事が前提のセキュリティであり、オンラインセキュリティに使える代物ではない。


オンラインで数字4桁だけのパスワードなどあり得ない仕様だ。


メガバンクなどはパスワードをもっと複雑にしていて、尚且つ複数のパスワードを入力しなければ認証しない。



ドコモ口座側も電話番号ぐらいの本人確認はすべきだと思う。


よって、第一の責任はオンライン銀行にあり、

二次的な責任はドコモ口座側にあると思う。


ドコモ口座が電話番号とSMSで認証していても、オンライン銀行側が口座番号とキャッシュカードのパスワードだけで本人認証していれば、ドコモ口座以外の他システム連携で、いつか必ず不正操作されたはずだ。



ドコモ口座は最初に失敗したにすぎない。


今回の事件を切っ掛けに、口座番号とキャッシュカードのパスワードだけで本人認証しているオンライン銀行が発覚すれば、その利用を止めた方が良いと思う。



当日追記


NTTドコモ緊急会見を見たところ、

元々ドコモ口座は携帯電話のドコモのユーザーに対してのみ提供していたサービスで、

後にドコモ以外のユーザーでも使えるようにサービスを拡充したそうだ。


その際、ドコモ以外のユーザーの本人確認がメールアドレスのみになり、本人確認の信頼性が損なわれたらしい。


また、りそな銀行との連携の際、どうもりそな銀行側の都合に合わせて、口座名義人名称の確認処理を外したらしく、この時口座番号とキャッシュカードのパスワードだけで本人認証する銀行が現われたらしい。


ドコモ口座の他行との連携のセキュリティは他行側のセキュリティルールに従って接続すると言っている。

「他行のセキュリティが甘いなと思った時はどうするのか」という質問に対しても他行側のセキュリティルールに従って接続すると言っている。



今後の対応として、ドコモ以外のユーザーの本人確認に eKYC(electronic Know Your Customer)を導入し、SMSによる本人確認も導入してセキュリティ強化を図るそうだ。


「eKYC」ってなんだ? メルペイやLINE Payも対応した“本人確認”の進歩


「セキュリティの甘い他行との連携を切ることはないのか」という質問に対しては、「eKYCの導入で対処できる」と回答している。



この件に関しては、私はドコモ口座で対処できるのはここまでだと思う。

 eKYC導入 と SMS による本人確認を追加する以上の事は、ドコモ側にはできない。


本当の問題への対処はオンライン銀行側が行わなければ解決しないと思う。


オンライン銀行側がセキュリティを強化しないのなら、そのオンライン銀行の利用を停止した方が良いのは、変わらない。


ドコモ口座以外の他のサービスと連携する時、同じ問題が起きる。


オンライン銀行側も記者会見すべきだろう。



経営と営業の判断に甘さがあるが、ドコモ口座は本来の原因ではないと思う。

2020/09/17 追記>

「みずほ銀行は16日、過去1年以上前に複数の電子決済サービスを使った不正な預金引き出しがあったと発表した。」

「現在はサービスを改修し、同様の被害は確認されていないとしている。」

https://www.sankei.com/economy/news/200917/ecn2009170001-n1.html



みずほ銀行 「ドコモ口座」に関するよくあるご質問

https://www.mizuhobank.co.jp/retail/oshirase/oshirase_20200916.html


「みずほ銀行における二要素認証は、みずほダイレクトをご利用でないお客さまにつきましてもキャッシュカード暗証番号に加え通帳に印字されている最終行の残高を確認する方法を採用しております。なお、過去、複数のペイメントサービスを介して、みずほ銀行のお客さまの預金口座から第三者が不正利用した事案が発生いたしましたが、事象認識後速やかに対応済みです。引き続きサービスのセキュリティ向上を図ってまいります。」



みずほ銀行は、1999年、旧第一勧業銀行、旧富士銀行、旧日本興業銀行の3行が統合して出来た銀行で、昨年まで勘定システムが一つに統合できていなかった。

https://newspicks.com/news/5223471?ref=pickstream_521889


2019年7月に勘定系システム「MINORI」がリリースされ、ようやくシステムが統合された。


不正な預金引き出しは1年以上前なので、システム統合の数ヶ月前になる。


システム統合の前まで、規格の違う複数の勘定システムの運用に無理があり、セキュリティに穴があったのかも知れない。


現在は、使用しているシステムが総入れ替えされているので、たぶん大丈夫だとは思うが、メガバンクでも不正な預金引き出しがあったという報道は驚いた。


このブログを検索

Translate

人気の投稿

自己紹介

自分の写真
オッサンです。実務経験は Windows環境にて C#,VB.NET ,SQL Server T-SQL,Oracle PL/SQL,PostgreSQL,MariaDB。昔はDelphi,C,C++ など。 趣味はUbuntu,PHP,PostgreSQL,MariaDBかな ?基本無料のやつ。

QooQ